Jen stíny rootkitů, nebo skutečná hrozba?

Diskuze čtenářů k článku

BFU  |  30. 08. 2007 08:11  | 

Jestli to dobře chápu, tak tím trpí windows. Takže nejlepší obrana proti rootkitům> zbavit se windows?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Bobek  |  30. 08. 2007 08:30  | 

Jestli to dobře chápu, tak např. tuberkulózou, syfilisem atd. trpí lidi -> zbavit se lidí.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Dalibor  |  04. 09. 2007 08:35  | 

Zbavit se Windows není totéž, co zbavit se lidí. Já ve své síti Windows nemám a přesto počítače splňují účel, ke kterým byly určeny. A bez rootkitů, virů a trojanů.

Souhlasím  |  Nesouhlasím  |  Odpovědět
pepak  |  30. 08. 2007 08:34  | 

Stejne jako mnoho jinych veci, i technika rootkitu se objevila na Unixech mnoho let predtim, nez vubec nekdo vymyslel nazev Windows

Souhlasím  |  Nesouhlasím  |  Odpovědět
BFU  |  30. 08. 2007 08:44  | 

Díky.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter S.  |  30. 08. 2007 08:36  | 

Asi máš na mysli tu definíciu z wikipedie, kde ten autor uvádza okrem iného "...položek registru Windows...", som sa nad tým pozastavil, ale na konci tej difinície je zas uvedené "Rootkity existují pro mnoho operačních systémů.“ (a dúfam že autor nemyslel x verzií Windows XP, Vista a pod :) )

Souhlasím  |  Nesouhlasím  |  Odpovědět
BFU  |  30. 08. 2007 09:31  | 

Přiznám se, skutečně o této problematice moc nevím, ale tak jak se to publikuje, vidím problém jen u windows. O ostatních OS se nepíše, tak tam asi problémy nejsou.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter Lehotsky  |  30. 08. 2007 09:38  | 

Rootkity jsou i na unixech, stejne tak nastroje na jejich vyhledavani, odstranovani a ochranu pred jejich nasazenim. Akorat v unixovych systemech neni céééé-dvojtečka-bordel, lide nepracuji pod uctem administratora a bezpecnostni zaplaty na zname problemy vychazeji kdyz je to potrebne a ne v predem naplanovanych terminech.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tata tulen  |  31. 08. 2007 08:38  | 

Na posledni vetu bych si dovolil reagovat - MS sice uvolnuje vetsinu zaplat kazde druhe utery v mesici, nicmene kriticke zaplaty _samozrejme_ uvolnuje asap. Napriklad tento tyden... Ostatne znam spoustu lidi, kteri i na -nixech pracuji pod rootem - kazdemu, co jeho jest. Takze si, budte tak laskav, strcte svuj flejm tam, kam ani slunce nesviti.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter Lehotsky  |  31. 08. 2007 09:52  | 

Ehm, mame zkusenbosti s kvalitou MS zaplat vidte , obcas zabezpeci system natolik ze nejde ani nastartovat .
Jaky flejm, staci se podivat na secunii a hned je videt jak vazne berou v redmondu bezpecnost.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tata tulen  |  31. 08. 2007 15:16  | 

Ano, mam zkusenosti se zaplatami MS - zaplatuji jiz sestym rokem tak nejak profesionalne a zatim jsem mel pouze jediny problem (s WinXP SP2 . Takze bud si tady lecite svoje mindraky, nebo mam asi teda _fakt_kliku_...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter Lehotsky  |  31. 08. 2007 20:10  | 

Vidite, ja zacal s widlema profesionalne v dobe NT3.5x, zaplaty jsme vzdy (ok, od 4.0 SPneco) testovali cca mesic pred ostrym nasazenim, ale co chudak BFU? Myslite ze BFU ma cas a penize na testovani zaplat, co male firmy typu franta a syn? Nejde jen o zkusene administratory kteri se drzi zasad, jde o princip ze MS se neda verit, ze vsechno delaji "napul" hlavne ze jsou prachy, on zakaznik vydrzi hodne, nestezuje si tak proc nepokracovat ve zdimani.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Dalibor  |  02. 09. 2007 01:40  | 

Přesně tak, o tom to je. Pro BFU je udržování Windows v dobrém stavu mnohem těžší, než udržovat běžnou distribuci Linuxu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter S.  |  30. 08. 2007 08:25  | 

uviedli ste tu pár nástrojov ale také jednoduché to nie je. Určite fungujú na jednoduchšie rootkity, kde autor pozmenil funkciu a, ktorá sa využíva v 99,9 % volaní, ale zabudol na funkciu b ktorá sa nepoužíva takmer vôbec, ale vie poskytnúť tie iste vystupy. Ten program potom napríklad porovná vystupy týchto dvoch funkcií a zistí, že tu niečo nesedí, alebo priamo použije b a zistí niečo čo tam nemá byť.
Rotkit musí pamätať nielen na výpis obsahu adresára, včítane pozmenenia skutočnej veľkosti binárok, dátumu zmeny súboru, ale aj výpis bežiacich procesov, využitia RAM, sieťových pripojení a kopu iných vecí.
Najspoľahlivejší spôsob je vypnúť stroj, nabutovať livecd a skontrolovať md5sumy (ak máte zodpovedajúce sumy z času, ked bol system 100 % vierohodný), alebo aspon zistiť či od poslednej aktuálizácie sa nezmenila štruktúra a veľkosť súborov na rootovskej partícií.
Este jedna pripomienka, neviem či môže existovať nečo ako user-mode rootkit, akosi mi to logicky nesedí

Souhlasím  |  Nesouhlasím  |  Odpovědět
pepak  |  30. 08. 2007 08:38  | 

Ani nejsou potreba aktualni kontrolni soucty. Uplne staci porovnat stav pri bezicim systemu a stav pri nabootovani z Live CD. Pokud zjistim, ze po bootu z CD se mi najednou na disku objevilo sest adresaru a cela nova vetev v registrech, tak mohu pomerne spolehlive predpokladat, ze mam v systemu rootkit...
User-mode rootkit muze docela dobre fungovat, ale samozrejme jen pro toho uzivatele a jeho "podrizene", pod kterym bezi. Predstavte si to treba jako obycejny keylogger, ktery se pokusi "vymazat" ze seznamu bezicich uloh v Task Manageru.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter S.  |  30. 08. 2007 08:51  | 

OK, máš 100 % pravdu s tým prvým, to ma nenapadlo, ale je to úplne logické
re druhý odstavec, neviem či pod windowsom dokáže užívateľský program ovplyvniť výpis Task Managera, ale pod linuxom si to neviem predstaviť, teda že by pozmenil výstup príkazu ps, prípadne top/htop, a ak nie priamo tieto príkazy, to by asi musel pozmeniť potom samotný program konzoly (rxvt a pod), ktorý by dodatočne upravil výstup týchto príkazov..., proste bez su práv si to neviem predstaviť...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter Lehotsky  |  30. 08. 2007 09:15  | 

Za urcitych okolnosti by to teoreticky slo i v (neadministrovane instalaci) linuxove distribuce .
Ve windows ale maji (temer) vsichni (99% BFU) admina nebo Microsoft vydava aktualizace kazde druhe utery v mesici , takze je zde dostatek prostoru pro napadeni i v pripade administrovaneho systemu. Oni kluci redmondsti mozna jednou pochopi co je to bezpecnost

Souhlasím  |  Nesouhlasím  |  Odpovědět
Martin Kubečka  |  30. 08. 2007 09:59  | 

Myslím, že kluci redmonští chápou spoustu věcí. Takže např. Vista je jistám krokem k bezpečnosti (UAC). A ve výsledku většina lidí nadává, že to furt něco kontroluje a ptá se to a vypínají tuto ochranou funkci. Takže kudy ven?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter Lehotsky  |  30. 08. 2007 10:44  | 

Udelat vychozi nastaveni UAC podobne jak je tomu v pripade SUDO a vsichni budou nadavat podstatne mene.

Souhlasím  |  Nesouhlasím  |  Odpovědět
panet  |  01. 09. 2007 07:59  | 

Zapomel jste napsat "IMHO".
Pokud by to tak bylo a lidi by nenadavali, verim tomu, ze by se to implementovalo. V situaci, kdy obyc BFU bude muset cosi psat/prepinat/prehlasovat pred nainstalovanim "zajimaveho" programu z PPK, zacne nadavat.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Lemik  |  04. 09. 2007 17:04  | 

Já vidím problém v tom, že lidi vůbec nečtou, co jim ten počítač píše. Navíc, když je to anglicky (firemní politika).

Souhlasím  |  Nesouhlasím  |  Odpovědět
pepak  |  30. 08. 2007 09:57  | 

Dovedu si predstavit treba to, ze periodicky zkoumam zobrazovana okna a pokud najdu "Task Manager", tak v nem jeden urcity radek prekreslim necim jinym. Pri vedomi toho, ze drtiva vetsina uzivatelu pouziva prave TM a v defaultnim nastaveni (tj. napr. jeden urcity font v jedne urcite velikosti), tak by ani nemuselo byt tak tezke to udelat.
Nebo napriklad muzu do adresare Total Commanderu nahrat novy kernel32.dll, ve kterem bude vsechno fungovat normalne, akorat FindFirstFile/FindNext nebude vracet o souborech koncicich na rootkit.exe. (Zduraznuju, ze "user mode rootkit" znamena pouze to, ze rootkit _bezi_ pod uzivatelem a ne pod systemem; nic to nerika o tom, pod jakymi opravnenimi byl _instalovan_).
Na Linuxu treba to, ze do adresare na zacatku PATH vlozi skript se jmenem ps, ktery prevezme vystup skutecneho ps a upravi ho. To z nej dela user-mode rootkit, bez ohledu na to, ze ho do toho adresare v ceste zrejme naahravat nekdo s pravy roota.

Souhlasím  |  Nesouhlasím  |  Odpovědět
pepak  |  30. 08. 2007 09:59  | 

(Samozrejme, nez abych prekresloval okno, to si radsi spustim casovac a prostrednictvim prislusnych zprav pro listbox kazdou desetinu sekundy prectu seznam zobrazenych uloh a ty nezadouci zase jinou zpravou vymazu...)

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter S.  |  30. 08. 2007 10:16  | 

samozrejme môžeš urobiť alias na ps ktorý bude smerovať nejaký ps v tvojom domácom adresáry, na to nepotrebuješ práva roota, ale:
1) jednoduchá obrana je spúšťať nie ps ale /bin/ps
2) nefungovalo by to pri prihlásení na iného užívateľa
3) čo iné programy ako ls, top, pstree a pod?
Takže neviem, či vôbec by bolo správne označovať niečo také ako rootkit. Možno by sme to mohli označiť ako vírus alebo malware, ktorý sa primitívnym spôsobom snaží zakryt svoju prítomnosť v systéme...

Souhlasím  |  Nesouhlasím  |  Odpovědět
pepak  |  30. 08. 2007 10:23  | 

1) Puvodni /bin/ps zkopiruju do /bin/psx, svuj "rootkit" nahraju do /bin/ps
2) Viz 1
3) Totez muzu udelat i s nimi. Jde jen o to, jak dukladne to budu chtit udelat. Pokud mi bude stacit jen uprava dvou tri programu, je pro me jednodussi takovyto usermode rootkit nez se patlat s kernelmode rootkitem; pokud to budu chtit udelat neodhalitelne (tedy aspon zevnitr napadeneho systemu), tak se samozrejme na usermode vykaslu a napisu si to jako kernelmode.
Zakryti pritomnosti v systemu je jednou ze zakladnich charakteristik rootkitu. Jestli to dela sofistikovane nebo primitivne uz je vcelku podruzny detail.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter S.  |  30. 08. 2007 10:49  | 

re 1 a 2 - na to potrebuješ su práva, ja som rozoberal situáciu ako by mohol (ne)fungovať "rootkit" nainštalovaný pod užívateľom.
Potom už vôbec nerozumiem čo by mal byť user-mode rootkit, ked na jeho inštaláciu potrebuješ roota....
re 3 - to áno, musel by si modifikovať kopu takýchto utilitiek, inak zaujímavá protiotázka, to by si všetky tieto utilitky na tom stroji kompiloval na mieru? To by teoreticky šlo keby to robil živý človek ale toto všetko zautomatizovať by mohol byť dosť problém
Aha, teraz ma napadlo, že som možno len nesprávne pochopil čo mal znamenať ten user-mode rootkit, pokiaľ by sa user-mode vzťahovalo na user-space (vs kernelspace), tak áno potom by to zahrňalo aj zmeny v systémových súboroch....

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter Lehotsky  |  30. 08. 2007 10:57  | 

Mozna nepochopil, ze nejde o W98

Souhlasím  |  Nesouhlasím  |  Odpovědět
pepak  |  30. 08. 2007 12:52  | 

Re 1 a 2: Tak naposledy. Prectete si vy i ostatni dva reagujici na vas tuhle vetu, ktera snad vnese do problemu jasno: (Zduraznuju, ze "user mode rootkit" znamena pouze to, ze rootkit _bezi_ pod uzivatelem a ne pod systemem; nic to nerika o tom, pod jakymi opravnenimi byl _instalovan_).
Usermode rootkit je rootkit, ktery bezi jako normalni aplikace a ne jako soucast systemu. Tedy treba zameneny soubor /bin/ls bude usermode rootkit, zatimco kdyby se to nainstalovalo jako low level ovladac disku a falsovalo to vsechna cteni, tak to bude kernelmode rootkit.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter S.  |  30. 08. 2007 13:11  | 

čo je systém?
v článku sa píše: "Naproti tomu kernel mode rootkity zasahují přímo do některých částí operačního systému"
ty si napísal: "Usermode rootkit je rootkit, ktery bezi jako normalni aplikace a ne jako soucast systemu"
je ls, ps, htop normálna aplikácia alebo je to súčasť systému? Ja by som to označil ako "systémová utilita", teda súčasť systému, aplikácie sú firefox alebo gimp....
Takže aj článok mohol byť presnejší a rozdeliť rootkity na tie ktoré menia jadro (kernel, moduly) a tie ktoré menia zvyšok OS

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter Lehotsky  |  30. 08. 2007 13:40  | 

Vim velmi dobre co je usermode rootkit, ale Vy mate evidentne problem s pravy v unixech, byla to reakce na Vase
"1) Puvodni /bin/ps zkopiruju do /bin/psx, svuj "rootkit" nahraju do /bin/ps"
root@server:/# ls -l /bin
....
-rwxr-xr-x 1 root root ps
-rwxr-xr-x 1 root root ls
....
vidite tam nekde pravo zapisu pro skupinu a others? Nejprve musite ziskat roota a to je oc tady kraci.

Souhlasím  |  Nesouhlasím  |  Odpovědět
pepak  |  30. 08. 2007 13:58  | 

Ziskani prav roota ovsem s rozdelenim na kernel a usermode rootkity nijak nesouvisi a proto nevidim duvod, proc bych to mel zminovat. Nehlede na to, ze jde o obecny problem platny pro vsechny operacni systemy a je velice iluzorni se domnivat, ze jeden to resi nejak vyznamne lepe nez druhy - nanejvys se da debatovat o tom, ktery system instaluje vetsi procento amateru, kteri bezpecnostni navyky neznaji a nemaji.
Instalace rootkitu muze ostatne probihat mnoha ruznymi zpusoby, mimo jine treba tak ze statni organ se potaji vloupe do vaseho bytu a nasadi to na vas pocitac (a jak jiste uznate, pokud nemate sifrovany systemovy disk, tak tohle lze pri lokalnim pristupu udelat na zcela libovolnem systemu).

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter Lehotsky  |  30. 08. 2007 14:10  | 

Doporucuji projit jeste jednou cele vlakno, jeden prispevek po druhem aby Vam bylo jasne o cem se bavime resp. o cem byla puvodni debata .
Statni organ bude mit po vloupani do meho bytu s prominutim "ukousnutou prdel" od neceho hodne velkeho a lokalni pristup k memu stroji? Preju hodne stesti .

Souhlasím  |  Nesouhlasím  |  Odpovědět
pun  |  30. 08. 2007 20:38  | 

Ctu tu debatu a vidim dva zmrdy, jak se snazej mit pravdu za kazdou cenu, porad neco upresnujou a slovickarej a nakonec ho nechaj cist to znova a zase neco: doufam, ze se na vas pepak vysral a nebude si kazit naladu s takovejma ptakama...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Tata tulen  |  31. 08. 2007 08:42  | 

(palecnahoru)

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter Lehotsky  |  31. 08. 2007 09:48  | 

Ale studentiku, tohle nema uroven. Pepak je tupon ktery v debate o USERMODE rootkitech plete pate pres devate a instaluje ptakoviny pod rootem ikdyz se bavime o kompromitaci skrze bezny UZIVATELSKY ucet.
Mam te za dalsiho tupone ktery nevi co jsou pristupova prava a ohani se slovickarenim, doufam ze Pepak zalezl nekam do diry ke svym windows 98 a jiz nebude otravovat vzduch.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Yeti  |  31. 08. 2007 12:11  | 

Pokud se bavime o platforme x86, neni zadny problem pri lokalnim pristupu ke stroji roota ziskat. Lze to ztizit, ale nelze to vyloucit. Problematicke misto je prilis nizko v HW , nez aby to mohl OS uspesne ovlivnit.
Clanek je absolutne o nicem, pouze se snazo popsat nekolik malo nasrtoju pro odhaleni rootkitu.
Pokud tady v diskusi nekdo naznacoval, ze je to problem jen Win, je vul, na to se neda nic jinyho rict. Od ceho asi tak slovo root-kit je?

Souhlasím  |  Nesouhlasím  |  Odpovědět
panet  |  01. 09. 2007 08:04  | 

Mate hlidaciho tucnaka s velkym zobakem?

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter Lehotsky  |  01. 09. 2007 19:13  | 

Mnozne cislo a hodne velke poradne ozubene zobaky

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter Lehotsky  |  30. 08. 2007 10:52  | 

1) potrebujes roota

Souhlasím  |  Nesouhlasím  |  Odpovědět
Lada  |  02. 09. 2007 16:49  | 

Teoriticky máš pravdu, jenom, kdo to má hledat při tom počtu souborů a zápisů v registrech...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Martin Kubečka  |  30. 08. 2007 09:55  | 

V praxi se s nimi příliš často nepotkáváme i když hodně záleží na "kvalitě" uživatelů. Někteří uživatelé se snad zavirovávají schválně i když mají všechny možné či nemožné ochrany. Technologii rootkitů nelze nijak eliminovat, ale otázka je JAK se na PC dostanou. Kvalitní kombinovaný bezpečnostní produkt obvykle zablokuje instalaci rootkitu a zabrání aby infltroval systém. Je to jenom PROGRAM a někdo ho musí spustit. Takže zaplátovat systém, používat firewall a kvalitní bezpečnostní produkt a hlavně neklikat na kde co
Mac ( technická podpora serveru www.AntiviroveCentrum.cz)

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter S.  |  30. 08. 2007 10:18  | 

podľa mňa stačía dve veci:
nebežať pod administrátorom
inštalovať výhradne z vierohodných zdrojov (on-line repozitáre apod), ak potrebujete inštalovať niečo mimo pakcage managera, tak si to dávajte pod užívateľa

Souhlasím  |  Nesouhlasím  |  Odpovědět
petr  |  30. 08. 2007 12:52  | 

Trošku přehlížíte běžného uživatele, který nepozná, co je a co není důvěryhodný zdroj. Laik ani nepozná, co je reklama a co obsah stránky, o kontextové reklamě ala google vůbec nemluvě. Další potíž je, že se obvykle nemají na koho obrátit. Vy zajisté spadáte do kategorie, že rádi vše vysvětlíte, lidé to odkývou a tím to končí.
Je jediné jednoduché řešení. Dostatečně jednoduchý systém, ideálně uložený na ROM, který nebude skýtat mnoho možností na změnu, ovšem tím pádem ani bezpečnostní rizika a všichni odborníci ho automaticky odsoudí pro nedostatek jim potřebných funkcí.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Yeti  |  31. 08. 2007 12:14  | 

on-line repositare jsou duveryhodny zdroj? Tak to muze napsat jen clovek, ktery ABSOLUTNE netusi o cem mluvi!

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter S.  |  31. 08. 2007 13:15  | 

Len pre zaujímavosť, ktoré zdroje sú podľa teba doveryhodnejšie?
Samozrejme online repozitar si môže zriadiť ktokoľvek, ja som mal na mysli tie hlavné distribučné repozitáre

Souhlasím  |  Nesouhlasím  |  Odpovědět
Peter S.  |  30. 08. 2007 11:24  | 

by som ešte doplnil, že dokiaľ budú štandartné metódy (vírusy and comp.) dostatočne účinné, tak sa rootkity nebudú veľmi presadzovať - neoplatí sa to...

Souhlasím  |  Nesouhlasím  |  Odpovědět
Squad_leader  |  30. 08. 2007 11:31  | 

...že existují určité druhy "virů", které jsou neviditelné pro antiviry.

Souhlasím  |  Nesouhlasím  |  Odpovědět
tomas kolnik  |  30. 08. 2007 12:40  | 

Nemohu si pomoci, ale clanek na ktery odkazujete ohledne rootkitu mi pripadne jako predloha. Vas clanek se jevi jako jeho vycuc. Skdoda ,ze jste se nezameril na jine tema

Souhlasím  |  Nesouhlasím  |  Odpovědět
Yeti  |  31. 08. 2007 12:16  | 

jojo, kdyby psal o uhrech na zadku, jiste by to melo vyssi informacni hodnotu nez tenhle blabol...

Souhlasím  |  Nesouhlasím  |  Odpovědět
James Troll  |  03. 09. 2007 16:20  | 

Hovado, nejdrive si sezen grafy, diagramy a tabulky - teprve potom sesmol svuj trapny text, ktery kazdy normalni clovek preskoci, protoze ho zajimaji fakta - nikoliv tve znacne otupele kecy.

Souhlasím  |  Nesouhlasím  |  Odpovědět
Zasílat názory e-mailem: Zasílat názory Můj názor
Aktuální číslo časopisu Computer

Megatest 20 procesorů

Srovnání 15 True Wireless sluchátek

Vyplatí se tisknout fotografie doma?

Vybíráme nejlepší základní desky